CN114430894A - 通过扫描规则引擎最小化生产中断 - Google Patents
通过扫描规则引擎最小化生产中断 Download PDFInfo
- Publication number
- CN114430894A CN114430894A CN202080008530.4A CN202080008530A CN114430894A CN 114430894 A CN114430894 A CN 114430894A CN 202080008530 A CN202080008530 A CN 202080008530A CN 114430894 A CN114430894 A CN 114430894A
- Authority
- CN
- China
- Prior art keywords
- network
- network devices
- devices
- scan
- scanning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004519 manufacturing process Methods 0.000 title description 3
- 238000000034 method Methods 0.000 claims abstract description 20
- 230000000977 initiatory effect Effects 0.000 claims description 24
- 238000004891 communication Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 claims description 3
- 230000015654 memory Effects 0.000 description 18
- 230000015556 catabolic process Effects 0.000 description 4
- 238000006731 degradation reaction Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000002411 adverse Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000005192 partition Methods 0.000 description 2
- 229920001690 polydopamine Polymers 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003278 mimic effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Abstract
该技术针对基于规则的引擎,用于管理网络上设备的基于网络的扫描,以最小化对网络的中断。一个或多个处理器可以从一个网络设备集中识别出初始网络设备组,根据规则集识别该初始网络设备组,并且启动对该初始网络设备组的扫描。一个或多个处理器可以根据规则集,从待扫描的网络设备集中确定附加的网络设备组并且启动该附加的网络设备组的扫描。可以重复这些步骤,直到根据规则集扫描了该网络设备集中的所有网络设备为止。
Description
相关申请的交叉引用
本申请是2020年7月20日提交的名为“通过扫描规则引擎最小化生产中断”的美国申请No.16/933,345的继续申请,其公开内容通过引用并入本文。
背景技术
识别网络中的漏洞可以为网络管理员提供在任何漏洞被恶意行为者利用之前纠正任何漏洞的机会。识别漏洞的一种方法是使用黑盒漏洞扫描。通过网络进行黑盒漏洞扫描是验证网络安全状态的常见做法。黑盒漏洞扫描可以包括从网络外部扫描网络以查找漏洞,并且不知道网络中包含的内容。在这点上,黑盒漏洞扫描试图模仿黑客或其他恶意行为者试图利用网络的方式,而无需事先了解网络。
已知网络设备在经受诸如在黑盒漏洞扫描中进行的网络扫描时表现出不稳定的行为。例如,网络扫描可能会实施意外协议的使用或增加网络设备的负担,这在某些情况下可能对网络设备产生不利影响。例如,意外协议的使用或增加的负担可能会降低性能、冻结或导致网络设备或在网络设备上执行的服务关闭或重新启动。在一个或多个网络设备因扫描而受到不利影响的情况下,对通过网络提供的服务的访问可能会受到限制甚至无法访问。然而,由于网络扫描为网络提供了重要的安全优势,并且在某些情况下是由某些合规制度强制执行的,因此网络管理员会继续进行网络扫描,同时试图减少扫描对网络设备和整个网络的影响。
为了减少网络扫描可能具有的影响,网络管理员可以随机选择网络设备的子集以在非高峰时间期间扫描和/或运行网络扫描。然而,随机选择网络设备的子集可能无法提供网络安全状态的真实情况,因为所选择的网络设备子集可能不代表整个网络。此外,随机选择的设备子集仍可能对网络造成不利影响,因为所选择的设备子集可能负责提供给定的服务或处理主要网络链接。如果一个或多个所选择的设备子集出现故障,则可能存在服务或网络链接变得不可用的风险。关于在非高峰时间期间运行网络扫描,由于许多网络一直在使用并且没有容许停机时间的窗口,使得非高峰网络扫描不可行。
发明内容
本公开的各方面通常针对一种基于规则的引擎,用于管理网络上的设备的基于网络的扫描以最小化网络中断。根据一个实施例,一个或多个处理器可以从一个网络设备集中识别出初始网络设备组,根据规则集识别初始网络设备组;启动初始网络设备组的扫描;根据规则集,在初始网络设备组的扫描之后,从网络设备集中确定待扫描的附加的网络设备组;启动附加的网络设备组的扫描;以及重复这些步骤直到根据规则集,扫描了网络设备集中的所有网络设备为止。
在一些示例中,识别初始网络设备集包括根据规则集识别可以被扫描的最大数量的网络设备。在一些示例中,规则集包括识别不能同时被扫描的一个或多个网络设备的至少一个规则。在一些示例中,规则集包括识别不能同时被扫描的两个或以上网络设备的至少一个规则。
在一些示例中,启动初始网络设备组的扫描包括向一个或多个扫描设备提供指令,指令包括在初始网络设备组中的每一个网络设备的标识。在一些示例中,指令进一步识别在初始网络设备组中,一个或多个扫描设备中的每一个扫描设备要扫描哪个网络设备。在一些示例中,在启动附加的网络设备组的扫描之前,可以接收初始网络设备组的扫描已完成的确认。
在一些示例中,启动附加的网络设备组的扫描包括向一个或多个扫描设备提供指令,指令包括在附加的网络设备组中的每一个网络设备的标识。在一些示例中,指令进一步识别在附加的网络设备组中,一个或多个扫描设备中的每个扫描设备将扫描哪个网络设备。
本公开的另一方面针对一种系统,包括:一个或多个处理器;以及与一个或多个处理器通信的一个或多个存储设备,其中,一个或多个存储设备包含指令。指令可以被配置为使一个或多个处理器执行以下操作的指令:(i)由一个或多个处理器从一个网络设备集中识别初始网络设备组,根据规则集识别初始网络设备组;(ii)由一个或多个处理器启动初始网络设备组的扫描;(iii)由一个或多个处理器根据规则集,从网络设备集中确定待扫描的附加的网络设备组;(iv)由一个或多个处理器启动附加的网络设备组的扫描;以及重复(iii)和(iv),直到根据规则集扫描了网络设备集中的所有网络设备为止。
本公开的另一方面针对一种存储指令的非暂时性计算机可读介质,当指令由一个或多个处理器执行时,使所述一个或多个处理器:(i)从一个网络设备集中识别初始网络设备组,根据规则集识别所述初始网络设备组;(ii)启动所述初始网络设备组的扫描;(iii)根据所述规则集,从所述网络设备集中确定待扫描的附加的网络设备组;(iv)启动所述附加的网络设备组的扫描;以及重复(iii)和(iv)直到根据所述规则集,扫描了所述网络设备集中的所有网络设备为止。
在某些情况下,其中,规则集包括识别不能同时被扫描的两个或以上网络设备的至少一个规则,可以最小化扫描对网络的影响。例如,当两个或以上网络设备在网络中提供一定程度的冗余时,同时扫描两个网络设备可能会导致服务丢失。通过在扫描两个或以上网络设备中的第一个网络设备之后启动对两个或以上网络设备中的第二个网络设备的扫描,两个或以上网络设备可以维持期望的服务水平。
附图说明
图1是根据本公开的各方面的系统的示意图。
图2图示了根据本公开的各方面,概述生成规则集的方法的示例性流程图。
图3图示了根据本公开的各方面的网络设备及其相应角色的清单。
图4图示了根据本公开的各方面的示例性网络图。
图5图示了根据本公开的各方面,概述使用基于规则的引擎扫描网络的方法的示例性流程图。
具体实施方式
概述
本公开的技术总体上涉及一种基于规则的引擎,用于管理对网络上的设备的基于网络的扫描以最小化对网络的中断。在这点上,可以基于提供的关于网络上的设备的信息来识别如何以及何时可以扫描网络上的设备的约束。约束可以最小化网络扫描对网络和网络设备的影响。基于这些约束,可以开发用于扫描所识别的约束内的网络设备的规则集。然后,可以根据规则集,由基于规则的引擎控制网络设备的扫描。
本文描述的特征允许扫描网络设备。在这点上,在网络设备清单上持续评估规则集。这样,可以不断地审查规则集,使得需要被扫描的任何网络设备都可以被扫描,而无需在继续扫描之前等待一段时间,这可能会在基于具有估计完成时间的预定义的调度执行扫描时发生。因此,相对于其他已知的扫描技术,使用基于规则的引擎扫描网络设备的时间可以减少30%或更多。此外,通过消除扫描之间的等待间隔,与基于时间的调度的标准设置相比,该基础设施的整体吞吐量可能要高得多。
示例性系统
图1图示了包括用于执行本公开的各方面的计算设备的示例性系统100。系统100包括网络设备141A-141N(统称为“网络设备141”)、扫描设备120,121和扫描控制设备110,所有这些设备都可通信地耦合到网络160。
网络设备141可以包括交换机、路由器、调制解调器、网关、软件定义的网络应用或可以连接到网络160或以其他方式形成网络160的一部分的其他此类组件。在这点上,网络设备141可以包括物理设备、虚拟化设备、复制品等。在一些示例中,网络设备可以包括计算设备,诸如服务器、通用计算机、PDA、平板电脑、移动电话、智能手表、终端、机顶盒和其他此类设备。
另外,网络设备141还可以包括在网络设备上实现的服务。在一些示例中,网络设备141可以耦合到其他网络设备以创建到网络160的通信路径。例如,第一网络设备可以连接到第二网络设备,它可以连接到其他网络设备或直接连接到网络。例如,网络设备141A可以是具有与其附接的一个服务器集的架顶式交换机。在另一个示例中,网络设备141B可以是附接到多个交换机的路由器,这些交换机又连接到多个计算设备。尽管图1将扫描控制设备110和扫描设备120,121图示为直接连接到网络160,但是扫描控制设备110和扫描设备120,121可以经由其他网络设备(诸如网络设备141之一)连接到网络160。
扫描控制设备110可以包含处理器112、存储器114和通常存在于通用计算机和服务器中的其他组件。存储器114可以存储处理器112可访问的信息,包括可由处理器112执行的指令116。存储器114还可以包括可由处理器112检索、操纵或存储的数据118。存储器114可以为能够存储处理器120可访问的信息的一种非暂时性计算机可读介质,诸如硬盘驱动器、固态驱动器、闪存驱动器、磁带驱动器、光存储器、存储卡、ROM、RAM、DVD、CD-ROM、可写和只读存储器。本文公开的主题可以包括前述的不同组合,由此指令116和数据118的不同部分被存储在不同类型的介质上。处理器112可以是众所周知的处理器或其他鲜为人知的处理器类型。可替代地,处理器112可以是专用控制器,诸如ASIC。
指令116可以是由处理器112直接执行的一组指令,诸如机器代码,或由处理器112间接执行的一组指令,诸如脚本。在这点上,术语“指令”、“步骤”和“程序”在本文中可以互换地使用。指令116可以以目标代码格式存储以供处理器120直接处理,或以其他类型的计算机语言存储,包括按需解释或预先编译的脚本或独立源代码模块的集合。
指令116可以提供由扫描控制设备110的基于规则的引擎实现的规则集生成,如本文所述。指令还可以提供基于规则的引擎,该引擎通过向一个或多个扫描设备(诸如扫描设备120,121)发出指示来控制网络的扫描,如本文所述。
处理器112可以根据指令116检索、存储或修改数据118。例如,虽然系统和方法不受特定数据结构的限制,但是数据118可以被存储在计算机寄存器中、作为具有多个不同字段和记录的结构存储在分布式存储系统中、或被存储在文档或缓冲区中。还可以按计算机可读模式(诸如但不限于二进制值、ASCII或Unicode)格式化数据118。此外,数据118可以包括足以识别相关信息的信息,诸如数字、描述性文本、专有代码、指针、对存储在其他存储器中的数据的引用,包括其他网络位置,或由计算相关信息的函数使用的信息。
尽管图1在功能上将处理器112和存储器114示为在同一块内,但是本领域的普通技术人员将理解到,处理器和存储器实际上可以包括可以或可以不存储在同一物理壳体内的多个处理器和存储器。例如,一些指令和数据可以被存储在可移动CD-ROM上,而其他指令和数据可以被存储在只读计算机芯片中。一些或所有指令和数据可以被存储在物理上远离处理器但仍可由其访问的位置中。类似地,处理器实际上可以包括可以或可以不并行操作的处理器的集合。
可以类似于扫描控制设备110对具有处理器122和存储器124的扫描设备120进行配置。为清楚起见,仅示出了扫描设备120的组件。扫描设备121可以具有与扫描设备120相同的部件中的一些或全部。虽然图1在功能上将处理器122和存储器124图示为在同一块内,但是本领域的普通技术人员将理解到,处理器和存储器实际上可以包括可以或可以不被存储在相同的物理壳体内的多个处理器和存储器。存储器124可以存储处理器122可访问的信息,包括指令126。存储器124还可以包括可以由处理器122检索、操纵或存储的数据128。指令126可以基于从扫描控制设备(诸如扫描控制设备110)接收的指示提供扫描网络设备(诸如网络设备141),如本文所述。
此外,本文描述的每个计算设备,包括扫描设备120,121和扫描控制设备110可以具有通常在个人计算机中找到的所有内部组件,诸如中央处理单元(CPU)、CD-ROM、硬盘驱动器和显示设备(例如,具有屏幕的监视器、投影仪、触摸屏、小型LCD屏幕、电视或另一设备(诸如可用来显示由处理器处理的信息的电子设备)、扬声器、调制解调器和/或网络接口设备、用户输入(诸如鼠标、键盘、触摸屏或麦克风)以及用于使这些元件相互连接的所有组件。此外,根据本文描述的系统和方法的计算机可以包括能够处理指令并且向人和其他计算机传送数据的设备,以及能够处理来自人和其他计算机的数据的设备,其他计算机包括通用计算机、服务器、PDA、平板电脑、移动电话、智能手表、缺乏本地存储能力的网络计算机、电视机顶盒和其他联网设备。
在一方面,扫描控制设备110是与一个或多个扫描设备120,121通信的服务器。在另一方面,扫描控制设备110可以是与一个或多个扫描设备120,121通信的通用计算机。在另一方面,本文描述的由扫描控制设备110执行的功能可以由在一个或多个计算设备(诸如扫描设备120,121、服务器、通用计算机或网络设备141之一)上执行的一个或多个应用执行。同样,扫描设备120,121的功能可以由在一个或多个计算设备(诸如扫描控制设备110或网络设备141之一)上执行的应用执行。尽管图1示出了单个扫描控制设备110和两个扫描设备120,121,系统100可以包括任意数量的扫描控制设备、扫描设备和网络设备。
系统100中的组件,包括扫描控制设备110、扫描设备120,121和网络设备141,可能能够诸如通过网络160直接和间接通信。网络160,以及包括网络设备141和计算机组件(诸如扫描控制设备110和扫描设备120、121)的中间节点可以包括各种配置和协议,包括因特网、万维网、内联网、虚拟专用网络、广域网、局域网、使用一个或多个公司专有的通信协议的专用网络、以太网、WiFi(例如,702.71、702.71b,g,n或其他此类标准)和HTTP,以及上述的各种组合。这种通信可以通过能够向其他计算机传送数据的设备,以及能够来自其他计算机的数据的设备(诸如调制解调器(例如,拨号、电缆或光纤)和无线接口)来促进。
示例性方法
除了上述和图中所示的操作之外,现在将描述各种操作。应当理解到,下述操作不必以下文描述的精确顺序执行。相反,可以以不同的顺序或同时处理各个步骤,并且还可以添加或省略步骤。
图2示出了用于由在控制设备(诸如扫描控制设备110)中实现的基于规则的引擎实现的、用于生成规则集的方法200。扫描控制设备110可以根据基于规则的引擎中的规则集,向扫描设备(诸如扫描设备120,121)提供指示。然后,扫描设备120,121可以根据接收到的指示扫描网络设备(诸如网络设备141)。尽管图2中概述的步骤被描述为由扫描控制设备110实现,但是这些步骤可以由任何计算设备或设备组合来执行。在某些情况下,可以按照方法200的步骤手动地生成规则集。
如本文所述,规则集可以基于可以如何和何时扫描网络(诸如网络160)上的网络设备(诸如网络设备141)的约束,使得对网络160和网络设备141的影响被最小化。可以根据关于网络160的已知信息来确定关于如何实施网络扫描的约束。在这点上,并且如框201所示,可以向扫描控制设备110提供关于网络的信息。该信息可以包括网络设备清单、网络的拓扑结构以及每个网络设备在网络中扮演的角色。
网络设备的清单可以包括网络上的每个网络设备的列表。例如,图3图示了网络设备141的示例性清单310,包括交换机1(340)、交换机2(342)、交换机3(344)、服务器1(350)、服务器2(352)、服务器3(354)、服务器4(356)、路由器1(360)、路由器2(362)和路由器3(364)。网络拓扑可以是表示网络上的网络设备的互连和位置的架构或网络图。图4图示了网络460上的网络设备141的示例性网络图,包括各种网络设备之间的连接。
网络设备310的清单和网络拓扑可以通过扫描每个设备的网络并确定每个设备之间的连接来确定。例如,扫描控制设备110、扫描设备120,121和/或一些其他计算设备可以扫描网络460以确定网络上的每个设备及其与其他网络设备的相对位置。在某些情况下,网络设备310的清单和网络拓扑可以由网络管理员或有权访问此类信息的其他人提供。
每个网络设备的角色可以由网络运营商定义或从网络设备在网络中的位置和/或网络设备的装备类型推断。例如,基于网络交换机将数据定向到连接到交换机的网络交换机的目的,网络交换机340可以被确定为具有“将服务器1和2连接到路由器1”的角色,如图3所示。在另一个示例中,网络运营商可以将一个服务器集的角色定义为向第一位置的终端用户提供某些服务,而将另一个服务器集的角色定义为向第二位置的终端用户提供相同的服务。
每个网络设备可以根据其在网络中的角色和位置被标记,如框203所示。例如并且如前所述,网络交换机340可以被标记为“将服务器1和2连接到路由器1”的角色。在另一个示例中,网络460上的每个服务器350、352、354和356可以被配置为向终端用户提供应用,每个服务器被配置为派发特定位置内的应用。在这点上,一对服务器(诸如服务器1(350)和服务器2(352))可以向第一位置的用户提供应用,第三服务器(诸如服务器3(354))可以向第二位置的用户提供应用,而第四服务器(即服务器4(356))可以向第三位置的用户提供应用。服务器对350、352可以被分配标记,该标记指示它们位于第一位置并且它们的角色是派发应用。可以标记第三服务器354以指示其位于第二位置并且其角色是派发应用,同时可以标记第四服务器356以指示其位于第三位置并且其角色是派发应用。
可以推断具有相同标记的网络设备为其角色提供冗余。在这点上,具有相同标记的网络设备可以被认为是复制品。可以识别每个冗余设备以用在生成约束中,如框205所示。例如,服务器对350、352可以被认为是冗余的,因为它们为第一位置的同一用户提供相同的应用。即,服务器对中的每个服务器都用于相同的目的,并为网络提供冗余。在这点上,如果服务器对350、352中的一个服务器在扫描期间遇到问题,诸如服务器关闭或遇到性能下降时段,或者在服务器上执行的服务关闭或遇到性能下降时段,则可以使用另一台服务器代替出现故障或性能降低的服务器。相比之下,第三和第四服务器可能不被视为复制品,因为它们被标记为服务于不同的位置。每个冗余设备都可以这样被标记,如图3所示,其中,服务器1(350)被标记为服务器2(352)的冗余,而服务器2(352)被标记为服务器1的冗余。
基于标记,包括冗余网络设备的标识,可以确定一个约束集,如图2的框207所示。每个约束可以是扫描网络的限制,其降低了导致网络中断或服务降级超过某个阈值的可能性。为了确定约束,可以生成网络设备及其标记的图。可以为每种类型的网络设备和/或不同网络设备组生成图。在上文的示例中,每个服务器350-354可以通过两个不同的冗余路径连接到网络。每条路径可以包括交换机和路由器,每个交换机和每个交换机和路由器可以是相同或不同的品牌和型号。例如,服务器350可以经由具有第一品牌和型号的第一交换机以及第一品牌和型号的第一路由器,经由第一路径连接到网络。服务器350还可以经由具有与第一交换机不同品牌和型号的第二交换机以及与第一路由器不同品牌和型号的第二路由器的第二路径连接到网络。
可以使用图划分算法来划分图。在这点上,可以基于冗余网络设备的标记和标识来划分图,以识别可以同时或连续被扫描的网络设备的组合,同时限制导致网络中断或服务降级超过某个阈值(诸如吞吐量阈值)的可能性,并且与特定设备的冗余级别无关。在上面的示例中,“冗余标记”方法已经表明每条路径上的仅一个路由器可以被同时扫描。相反,图形分析表明可以同时扫描一条路径中的所有设备,只要不扫描第二路径上的设备,因为第二路径将提供对服务的网络接入。
基于划分图,可以识别哪些网络设备可以一起被扫描而哪些网络设备不能一起被扫描的标识,并且哪些设备不能一起被扫描的标识可以表示约束。
每个被识别的约束可以被转换成规则,如框209所示。还可以定义附加规则以满足定时或其他这样的考虑。在这点上,附加规则可以基于惯例定时要求和/或合规制度概述的定时要求。例如,附加规则可以包括预期的覆盖频率,该频率定义要在每个单独网络设备的网络扫描之间实施的间隔。这些附加约束可以调节测试的频率并防止扫描被认为不必要。规则的集合,包括由约束生成的规则和附加规则,可以被组合成规则集,如框211所示。
控制设备(诸如扫描控制设备110)可以执行使用所生成的规则集的基于规则的引擎。在这点上,在扫描控制设备110上执行的基于规则的引擎可以通信并指示扫描设备以符合规则集中的规则的方式扫描网络上的网络设备。基于规则的引擎可以在所有网络设备上持续评估规则集中的规则,并且基于规则而不是仅仅基于基于时间的调度来做出扫描决定。
图5图示了用于根据规则集,使用基于规则的引擎来扫描网络上的网络设备(诸如网络460上的网络设备340-364)的方法500。在这点上,扫描控制设备110可以根据基于规则的引擎中的规则集,向扫描设备(诸如扫描设备120,121)提供指示。
在扫描的第一次迭代期间,基于规则的引擎可以识别在不违反规则集中的任何规则的情况下允许它扫描的网络设备的最大数量,如框502所示。在确定在初始阶段可以扫描的设备的最大数量后,基于规则的引擎可以指示一个或多个扫描设备121、122启动对已识别的网络设备的扫描,如框504所示。
基于规则的引擎可以通过向连接到要扫描的网络设备也连接的同一网络的扫描设备120,121中的一个或多个提供扫描指令来启动网络扫描。扫描指令可以包括要扫描的每个网络设备的标识。在某些情况下,单个扫描设备可以扫描所有网络设备。在另一个示例中,扫描设备可以基于可用性,在彼此之间分配指令。例如,无论位置如何或基于位置和可用性,可以将每个指令分配给可用的扫描设备。在又一示例中,指令可以包括关于哪个扫描设备应该扫描哪个网络设备的信息。扫描设备可以包括被编程为执行网络扫描的计算机设备,诸如编程有扫描软件的计算设备。
扫描控制设备110可以保持概述扫描设备相对于网络设备的位置的文件。在这点上,扫描控制设备110可以基于其相对于网络设备的位置,向每个扫描设备提供指令。例如,第一网络设备集可能位于欧洲,而另一网络设备集可能位于美国,并且扫描设备可能位于欧洲,而另一扫描设备可能位于美国。需要扫描欧洲的设备的扫描指令可以被发送到位于欧洲的扫描设备,而需要扫描美国的设备的扫描指令可以被发送到位于美国的扫描设备。
在从扫描控制设备接收到指令之后,一个或多个扫描设备可以开始扫描由指令中的基于规则的引擎识别的网络设备。在某些情况下,扫描控制设备110可以实施网络设备的扫描。在这种情况下,扫描控制设备可以不向扫描设备转发任何指令。在其他场景中,扫描控制设备110可以在其他扫描设备和该扫描控制设备本身之间分配扫描。
扫描的结果可以由扫描设备转发给扫描控制设备110。扫描的结果以及与扫描相关联的其他信息(诸如启动时间等)可以被存储在扫描控制设备110内或远离扫描控制设备的位置处的存储器的日志中。在一些情况下,扫描设备可以将日志存储在扫描设备内的存储器中或远离扫描设备的位置(诸如远程存储位置)处的存储器中。
在完成第一次迭代之后,基于规则的引擎可以借鉴日志数据,根据规则集来识别需要被扫描的附加网络设备,如框506所示。然后,基于规则的引擎可以指令扫描设备扫描这些附加网络设备,如框508所示。该处理可以根据规则集进行迭代,直到整个网络或网络的一部分上的网络设备被扫描为止,如图5进一步所示。
基于规则的引擎可以记录扫描启动并监视扫描直到它们完成为止。在这点上,基于规则的引擎可以在扫描事件完成时,从每个扫描设备接收确认。完成事件也可能被记录。
扫描完成后,或经过一定时间(诸如指示网络设备扫描失败的某个时间段)、诸如从关闭或重置以来的某一时间段)后,基于规则的引擎可能会重新评估规则集中的规则并且在需要时,基于日志中的数据,调度另外的扫描,如框510所示。例如,如果网络设备在扫描期间关闭,则可以启动对该网络设备的另一次扫描。
一旦根据规则集中的规则扫描了网络上的所有网络设备,则基于规则的引擎可能不会调度另外的扫描,直到目标频率时间(也可以在规则集中定义的)已经过去为止。此时,基于规则的引擎可以根据规则集中的规则恢复扫描。在这点上,可以重复方法500。除了日志数据之外,基于规则的引擎可以查询以确定在预定义的时间段内是否没有扫描特定资产,以确保所有网络设备在它们需要的扫描时间段内被扫描。
在某些情况下,一旦将新设备添加到网络清单中,基于规则的引擎就可以触发扫描。此外,当新设备被添加到网络清单时,可以如上所述生成考虑到新设备的新规则集。
尽管已经参考特定实施例描述了本文中的技术,但是应当理解到,这些实施例仅仅是对本技术的原理和应用的示例。因此应当理解到,在不脱离如由所附权利要求限定的本技术的精神和范围的情况下,可以对示例性实施例进行多种修改并且可以设计其他布置。
大多数上述替代示例不是互斥的,而是可以以各种组合实现以实现独特的优势。由于在不脱离由权利要求限定的主题的情况下可以利用以上讨论的特征的这些和其他变化和组合,因此应当通过示例的方式而不是通过限定由权利要求限定的主题来进行实施例的前述描述。例如,前面的操作不必按上述精确顺序执行。相反,可以以不同的顺序处理各个步骤,诸如颠倒或同时处理。除非另有说明,也可以省略步骤。此外,提供本文描述的示例以及表述为“例如”、“包括”等的短语不应当被解释为将权利要求的主题限制于具体示例;相反,这些示例旨在说明许多可能实施例中的仅一个。此外,不同附图中的相同附图标记可以标识相同或相似的元件。
Claims (20)
1.一种计算机实现的方法,包括:
(i)由一个或多个处理器从一个网络设备集中识别初始网络设备组,所述初始网络设备组是根据规则集来识别的;
(ii)由所述一个或多个处理器启动对所述初始网络设备组的扫描;
(iii)由所述一个或多个处理器根据所述规则集在对所述初始网络设备组的所述扫描之后从所述网络设备集中确定待扫描的附加的网络设备组;
(iv)由所述一个或多个处理器启动对所述附加的网络设备组的扫描;以及
重复(iii)和(iv),直到根据所述规则集扫描了所述网络设备集中的所有网络设备为止。
2.如权利要求1所述的方法,其中,识别所述初始网络设备集包括根据所述规则集来识别能够被扫描的最大数量的网络设备。
3.如权利要求1或权利要求2所述的方法,其中,所述规则集包括至少一个规则,所述至少一个规则识别不能同时被扫描的一个或多个网络设备。
4.如任一项前述权利要求所述的方法,其中,启动对所述初始网络设备组的所述扫描包括向一个或多个扫描设备提供指令,所述指令包括在所述初始网络设备组中的每一个网络设备的标识。
5.如权利要求4所述的方法,其中,所述指令进一步识别在所述初始网络设备组中,所述一个或多个扫描设备中的每一个扫描设备要扫描哪个网络设备。
6.如任一项前述权利要求所述的方法,进一步包括:在启动对所述附加的网络设备组的所述扫描之前,接收对所述初始网络设备组的所述扫描已完成的确认。
7.如任一项前述权利要求所述的方法,其中,启动对所述附加的网络设备组的所述扫描包括向一个或多个扫描设备提供指令,所述指令包括在所述附加的网络设备组中的每一个网络设备的标识。
8.如权利要求7所述的方法,其中,所述指令进一步识别在所述附加的网络设备组中,所述一个或多个扫描设备中的每一个扫描设备要扫描哪个网络设备。
9.一种系统,包括:
一个或多个处理器;以及
与所述一个或多个处理器通信的一个或多个存储设备,其中,所述一个或多个存储设备包含被配置为使所述一个或多个处理器执行以下操作的指令:
(i)由一个或多个处理器从一个网络设备集中识别初始网络设备组,所述初始网络设备组是根据规则集来识别的;
(ii)由所述一个或多个处理器启动对所述初始网络设备组的扫描;
(iii)由所述一个或多个处理器根据所述规则集从所述网络设备集中确定待扫描的附加的网络设备组;
(iv)由所述一个或多个处理器启动对所述附加的网络设备组的扫描;以及
重复(iii)和(iv),直到根据所述规则集扫描了所述网络设备集中的所有网络设备为止。
10.如权利要求9所述的系统,其中,识别所述初始网络设备集包括根据所述规则集识别能够被扫描的最大数量的网络设备。
11.如权利要求9或权利要求10所述的系统,其中,所述规则集包括至少一个规则,所述至少一个规则识别不能同时被扫描的一个或多个网络设备。
12.如权利要求9至11中的任一项所述的系统,其中,启动对所述初始网络设备组的所述扫描包括向一个或多个扫描设备提供指令,所述指令包括在所述初始网络设备组中的每一个网络设备的标识。
13.如权利要求12所述的系统,其中,所述指令进一步识别在所述初始网络设备组中,所述一个或多个扫描设备中的每一个扫描设备要扫描哪个网络设备。
14.如权利要求9至13中的任一项所述的系统,其中,所述指令被进一步配置为使所述一个或多个处理器在启动对所述附加的网络设备组的所述扫描之前,接收对所述初始网络设备组的所述扫描已完成的确认。
15.如权利要求9至14中的任一项所述的系统,其中,启动对所述附加的网络设备组的所述扫描包括向一个或多个扫描设备提供指令,所述指令包括在所述附加的网络设备组中的每一个网络设备的标识。
16.如权利要求15所述的系统,其中,所述指令进一步识别在所述附加的网络设备组中,所述一个或多个扫描设备中的每一个扫描设备要扫描哪个网络设备。
17.一种存储指令的非暂时性计算机可读介质,所述指令在由一个或多个处理器执行时使所述一个或多个处理器:
(i)从一个网络设备集中识别初始网络设备组,所述初始网络设备组是根据规则集来识别的;
(ii)启动对所述初始网络设备组的扫描;
(iii)根据所述规则集,从所述网络设备集中确定待扫描的附加的网络设备组;
(iv)启动对所述附加的网络设备组的扫描;以及
重复(iii)和(iv),直到根据所述规则集扫描了所述网络设备集中的所有网络设备为止。
18.如权利要求17所述的非暂时性计算机可读介质,其中,识别所述初始网络设备集包括识别根据所述规则集能够被扫描的最大数量的网络设备。
19.根据权利要求16或权利要求17所述的非暂时性计算机可读介质,其中,启动对所述初始网络设备组的所述扫描包括向一个或多个扫描设备提供指令,所述指令包括在所述初始网络设备组中的每一个网络设备的标识。
20.如权利要求19所述的非暂时性计算机可读介质,其中,所述指令进一步识别在所述初始网络设备组中,所述一个或多个扫描设备中的每一个扫描设备要扫描哪个网络设备。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/933,345 US11750635B2 (en) | 2020-07-20 | 2020-07-20 | Minimizing production disruption through a scan rule engine |
| US16/933,345 | 2020-07-20 | ||
| PCT/US2020/064841 WO2022019947A1 (en) | 2020-07-20 | 2020-12-14 | Minimizing production disruption through a scan rule engine |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114430894A true CN114430894A (zh) | 2022-05-03 |
Family
ID=74181317
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080008530.4A Pending CN114430894A (zh) | 2020-07-20 | 2020-12-14 | 通过扫描规则引擎最小化生产中断 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11750635B2 (zh) |
| EP (1) | EP3970045A1 (zh) |
| CN (1) | CN114430894A (zh) |
| WO (1) | WO2022019947A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134263A (zh) * | 2022-06-29 | 2022-09-30 | 中国银行股份有限公司 | 网络设备的扫描方法及装置 |
| CN116760716A (zh) * | 2023-08-18 | 2023-09-15 | 南京天谷电气科技有限公司 | 一种新能源场站智能网络拓扑管理系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030195861A1 (en) * | 2002-01-15 | 2003-10-16 | Mcclure Stuart C. | System and method for network vulnerability detection and reporting |
| CN106878341A (zh) * | 2017-04-14 | 2017-06-20 | 北京匡恩网络科技有限责任公司 | 网络设备的漏洞扫描方法及装置 |
| CN109766176A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种基于大规模网络空间探测的扫描进度计算方法及装置 |
| CN109861994A (zh) * | 2019-01-17 | 2019-06-07 | 安徽云探索网络科技有限公司 | 云侵的漏洞扫描方法及其扫描装置 |
| CN111328064A (zh) * | 2020-02-18 | 2020-06-23 | 展讯通信(上海)有限公司 | 对设备的扫描处理方法、移动设备、装置及存储介质 |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6745356B1 (en) * | 2001-02-15 | 2004-06-01 | Fujitsu Limited | Scannable state element architecture for digital circuits |
| US7257630B2 (en) | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7591017B2 (en) * | 2003-06-24 | 2009-09-15 | Nokia Inc. | Apparatus, and method for implementing remote client integrity verification |
| US20120254958A1 (en) * | 2011-03-30 | 2012-10-04 | Honeywell International Inc. | Method to achieve coexistence of multiple wireless networks using unique network identifiers |
| US8789190B2 (en) | 2011-12-23 | 2014-07-22 | Mcafee, Inc. | System and method for scanning for computer vulnerabilities in a network environment |
| US9407653B2 (en) | 2012-04-10 | 2016-08-02 | Mcafee, Inc. | Unified scan management |
| US10049213B2 (en) | 2016-04-15 | 2018-08-14 | Cisco Technology, Inc. | Fog-based distributed malware defense |
-
2020
- 2020-07-20 US US16/933,345 patent/US11750635B2/en active Active
- 2020-12-14 CN CN202080008530.4A patent/CN114430894A/zh active Pending
- 2020-12-14 WO PCT/US2020/064841 patent/WO2022019947A1/en unknown
- 2020-12-14 EP EP20839459.3A patent/EP3970045A1/en active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030195861A1 (en) * | 2002-01-15 | 2003-10-16 | Mcclure Stuart C. | System and method for network vulnerability detection and reporting |
| CN106878341A (zh) * | 2017-04-14 | 2017-06-20 | 北京匡恩网络科技有限责任公司 | 网络设备的漏洞扫描方法及装置 |
| CN109766176A (zh) * | 2018-12-29 | 2019-05-17 | 北京威努特技术有限公司 | 一种基于大规模网络空间探测的扫描进度计算方法及装置 |
| CN109861994A (zh) * | 2019-01-17 | 2019-06-07 | 安徽云探索网络科技有限公司 | 云侵的漏洞扫描方法及其扫描装置 |
| CN111328064A (zh) * | 2020-02-18 | 2020-06-23 | 展讯通信(上海)有限公司 | 对设备的扫描处理方法、移动设备、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 廖金菊;冯光辉;: "基于虚拟节点管理的云安全漏洞扫描系统", 中国电子科学研究院学报, no. 05, pages 1 - 3 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115134263A (zh) * | 2022-06-29 | 2022-09-30 | 中国银行股份有限公司 | 网络设备的扫描方法及装置 |
| CN116760716A (zh) * | 2023-08-18 | 2023-09-15 | 南京天谷电气科技有限公司 | 一种新能源场站智能网络拓扑管理系统及方法 |
| CN116760716B (zh) * | 2023-08-18 | 2023-11-03 | 南京天谷电气科技有限公司 | 一种新能源场站智能网络拓扑管理系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3970045A1 (en) | 2022-03-23 |
| US11750635B2 (en) | 2023-09-05 |
| WO2022019947A1 (en) | 2022-01-27 |
| US20220021696A1 (en) | 2022-01-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210014264A1 (en) | System and method for reasoning about the optimality of a configuration parameter of a distributed system | |
| Garcia et al. | Analysis of operating system diversity for intrusion tolerance | |
| US9026853B2 (en) | Enhancing test scripts | |
| RU2571726C2 (ru) | Система и способ проверки целесообразности установки обновлений | |
| US20220147402A1 (en) | System and method of a managing multiple data centers | |
| CN103460203A (zh) | 群集唯一标识符 | |
| KR20050037606A (ko) | 컴퓨터 기반 방법, 컴퓨터 프로그램 제품 및 데이터 처리시스템 | |
| US10212034B1 (en) | Automated network change management | |
| JP5198154B2 (ja) | 障害監視システム及びデバイスと監視装置並びに障害監視方法 | |
| CN114430894A (zh) | 通过扫描规则引擎最小化生产中断 | |
| EP3958152B1 (en) | Attack scenario simulation device, attack scenario generation system, and attack scenario generation method | |
| US11567756B2 (en) | Causality determination of upgrade regressions via comparisons of telemetry data | |
| US11748081B2 (en) | System and method for application release orchestration and deployment | |
| CN112714158A (zh) | 事务处理方法、中继网络、跨链网关、系统、介质和设备 | |
| CN114816894B (zh) | 一种芯片测试系统、方法、设备及介质 | |
| CN114036495B (zh) | 一种更新私有化部署验证码系统的方法及装置 | |
| CN110109790A (zh) | 服务器硬盘管理方法、装置、设备及计算机可读存储介质 | |
| CN115643082A (zh) | 一种失陷主机的确定方法、装置及计算机设备 | |
| US11138078B2 (en) | Repairing partially completed transactions in fast consensus protocol | |
| CN112130889A (zh) | 资源的管理方法和装置、存储介质、电子装置 | |
| CN101399784A (zh) | 通信系统、通信方法、通信控制程序和程序记录介质 | |
| US20190253913A1 (en) | System and method for managing filtering rules from a remote server | |
| KR102561341B1 (ko) | 엣지 클라우드 환경에서의 데이터 추적 장치 및 방법 | |
| US20240129741A1 (en) | Information security early warning device and method thereof | |
| CN117857336A (zh) | 配置信息的发送、装置、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |